В общем словили эту заразу. Текстовое сообщение: еще не все потеряно, файлы можно вернуть! пиши на этот адрес!!! [email protected]. Сохранил скрипт с которого началось заражение архив ZPX993023L [удалено] больше 2,5 МБ. Содержимое папки C:\Program Files\ООО СЛУЖЕБНЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ. Был еще кусок заразы winrar.exe, сохранить не удалось. Еще по ссылке человек вроде делится лекарством https://yadi.sk/d/qq-1uN-dTff7S пароль: infected
Буду благодарен за любую помощь.
Последний раз редактировалось Nekhoch; 19.06.2014 в 19:34.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Nekhoch, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Приветствую.
1. ID никакого. Сообщение оригинал- "еще не все потеряно, файлы можно вернуть! пиши на этот адрес!!! [email protected]"
2. Да логи с 2-х машин подвергшихся заражению.
В том то и дело что читал сообщения о том что деньги переводят, а дешифратора не получают.
Решать, конечно, Вам. За последние пару дней у нас появилось уже 2 дешифратора для этой почты (один, кстати, благодаря Вашей ссылке на Яндекс-диск). Так что после оплаты вряд ли обманет автор
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Мне ждать от Вас каких то конкретных рекомендаций? Или под виртуалкой попробовать копии файлов дешифровать? Тут ситуация презабавная, шеф в командировке не знает о том что сотрудники напакостили, да еще сами себе. Кстати часть сетевого общедоступного хранилища частично зашифровано. В понедельник я не знаю что будет. Народ как обычно бэкапы не делал...
Рекомендаций по дешифровке точно не будет. Нужен оригинальный дешифратор
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Иван\AppData\Local\Yandex\Updater2\BrowserManager.exe','');
QuarantineFile('C:\Users\Иван\AppData\Local\winrar.exe','');
DeleteFile('C:\Users\Иван\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
DeleteFile('C:\Users\Иван\AppData\Local\winrar.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Сделаю, но к сожалению завтра, логи выложу. Живу в Красноярске. Вы ни могли бы как то в ПМ или на почту скинуть другой вариант дешифратора. Буду пробовать, вариантов не много.
Внимание! Данный дешифратор предназначен только для пользователя Nekhoch
Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
1. Ввиду медленной расшифровки файлов не пытайтесь скормить сразу слишком много файлов. Это создает эффект зависания программы, а на самом деле дешифровка идет. Скопируйте часть файлов в отдельную папку и расшифровывайте их.
2. Дешифратор создает две копии расшифрованных файлов: А) в первом варианте дешифратор не меняет имя файла, но оставляет в конце файла мусор в виде информации, необходимой для расшифровки. В большинстве случаев такой файл успешно открывается
Исключение: файлы от Microsoft Office 2007, 2010 и некоторых других форматов - смотри п. Б
Б) во втором варианте дешифратор возвращает файл в первоначальное состояние до шифрования, но приписывает к имени файла дополнительно расширение .bak
Если это расширение удалить, то файлы, указанные в исключении п. А, тоже успешно открываются
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Дешифратор сработал на обеих машинах. Запустил скрипт, сделал обновленные логи. При просмотре карантина обнаружился только autorun от WS 2012 R2. Смысла высылать Вам его не вижу. Логи скину завтра, сил нет... Спасибо за помощь. Буду настаивать у начальства на "ковре" о помощи проекту!